目录中，创建一个 master 和/或 worker 文件来为这些节点加密磁盘。以下是这两个 文件的例子： $ cat << EOF > ./99-openshift-worker-tpmv2-encryption.yaml apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfig metadata: name: worker-tpm mode: 420 path: /etc/clevis.json EOF $ cat << EOF > ./99-openshift-master-tpmv2-encryption.yaml apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfig metadata: name: master-tpm 节点的其中一个或两个示例的 Base64 编码文件： 重要 重要 您必须添加 rd.neednet=1 内核参数。 $ cat << EOF > ./99-openshift-worker-tang-encryption.yaml apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfig metadata: name: worker-tang

接入点的 pod 都可以访问其中的任何文件。 与此无关，传输中的加密默认是启用的。如需更多信息，请参阅 https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html。 apiVersion: v1 kind: PersistentVolume metadata: name: efs-pv spec: capacity: PV 或使用固态硬盘 的 PV。 replication- type none 或 regional-pd none 允许您在 zonal 或区域 PV 之间进行选 择。 disk- encryption- kms-key 用于加密新磁盘的密钥的完 全限定资源标识符。 空字符串 使用客户管理的加密密钥（CMEK） 加密新磁盘。 5.15.4. 创建自定义加密的持久性卷 创建 PersistentVolumeClaim 此字段必须是用于加密新磁盘的密钥的资源标识符。值是区分大小写的。有关提供关键 ID 值的更多信息，请参阅检索资源 ID 和 获取 Cloud KMS 资源 ID 。 注意 注意 您不能将 disk-encryption-kms-key 参数添加到现有的存储类中。但是，您可以 删除存储类并使用相同的名称和不同的参数集合重新创建该存储类。如果您这样 做，现有类的置备程序必须是 pd.csi.storage.gke

keep-alive 模式下： Encryption ROUTER_THREADS unset ROUTER_THREADS=4 none 23681 24327 edge 14981 22768 passthrough 34358 34331 re-encrypt 13288 24605 在 HTTP 关闭（无 keep-alive）情境中： Encryption ROUTER_THREADS passthrough 3408 3922 OpenShift Container Platform 3.11 扩 扩展和性能指南 展和性能指南 30 re-encrypt 1333 2239 Encryption ROUTER_THREADS unset ROUTER_THREADS=4 TLS 会话恢复用于加密路由。使用 HTTP keep-alive 设置，单个 HAProxy 路由器可在页面大小小到

PV 或使用固态硬盘 的 PV。 replication- type none 或 regional-pd none 允许您在 zonal 或区域 PV 之间进行选 择。 disk- encryption- kms-key 用于加密新磁盘的密钥的完 全限定资源标识符。 空字符串 使用客户管理的加密密钥（CMEK） 加密新磁盘。 5.8.4. 创建自定义加密的持久性卷 创建 PersistentVolumeClaim 此字段必须是用于加密新磁盘的密钥的资源标识符。值是区分大小写的。有关提供关键 ID 值的更多信息，请参阅检索资源 ID 和 获取 Cloud KMS 资源 ID 。 注意 注意 您不能将 disk-encryption-kms-key 参数添加到现有的存储类中。但是，您可以 删除存储类并使用相同的名称和不同的参数集合重新创建该存储类。如果您这样 做，现有类的置备程序必须是 pd.csi.storage.gke volumeBindingMode: "WaitForFirstConsumer" allowVolumeExpansion: true parameters: type: pd-standard disk-encryption-kms-key: projects//locations//keyRings//cryptoKeys/ 1

id>/resourceGroups//providers/Microsoft. Compute/diskEncryptionSets/encryption_set_name> storageAccountType: Premium_LRS 第 第 2 章 章 使用 使用 MACHINE API 管理 管理计 计算机器 算机器 id>/resourceGroups//providers/Microsoft. Compute/diskEncryptionSets/encryption_set_name> storageAccountType: Premium_LRS $ oc get infrastructure cluster -o jsonpath='{ - type: encryptionKey: kmsKey: name: machine-encryption-key 1 keyRing: openshift-encrpytion-ring 2 location: global 3

Azure 资源组名称。为了避免在销毁集群后丢失对密 钥的访问，您应该在与安装集群的资源组不同的资源组中创建 Disk Encryption Set。 指定您要创建资源组的 Azure 位置。 2. 运行以下命令，为 Azure Key Vault 和 Disk Encryption Set 设置以下环境变量： 指定您要创建的 Azure Key Vault 的名称。 指定您要创建的加密密钥名称。 KEYVAULT_NAME="" \ 1 KEYVAULT_KEY_NAME="" \ 2 DISK_ENCRYPTION_SET_NAME="encryption_set_name>" 3 $ export CLUSTER_SP_ID="" 1 $ az feature register $ az disk-encryption-set create -n $DISK_ENCRYPTION_SET_NAME -l $LOCATION -g \ $RESOURCEGROUP --source-vault $KEYVAULT_ID --key-url $KEYVAULT_KEY_URL $ DES_IDENTITY=$(az disk-encryption-set show -n

Azure 资源组设置以下环境变量： 指定您要创建磁盘加密集和加密密钥的 Azure 资源组名称。为了避免在销毁集群后丢失对密 钥的访问，您应该在与安装集群的资源组不同的资源组中创建 Disk Encryption Set。 指定您要创建资源组的 Azure 位置。 $ export RESOURCEGROUP="" \ 1 LOCATION="" 2 OpenShift Container Platform 4.14 安装 安装 758 1 2 3 1 2. 运行以下命令，为 Azure Key Vault 和 Disk Encryption Set 设置以下环境变量： 指定您要创建的 Azure Key Vault 的名称。 指定您要创建的加密密钥名称。 指定您要创建的磁盘加密集的名称。 3. 运行以下命令，为您的 Azure KEYVAULT_NAME="" \ 1 KEYVAULT_KEY_NAME="" \ 2 DISK_ENCRYPTION_SET_NAME="encryption_set_name>" 3 $ export CLUSTER_SP_ID="" 1 $ az feature register

关此产品的技术协助，请联系 Hashicorp。 5.3.1. 集群范围的加密 Red Hat OpenShift Data Foundation 支持存储集群中所有磁盘和多云对象网关操作的集群范围加密 (encryption-at-rest)。OpenShift Data Foundation 使用基于 Linux 统一密钥系统 (LUKS) 版本 2 的加 密，其密钥大小为 512 位，以及 aes-xts-plain64

keep-alive 模式下： Encryption LoadBalancerService HostNetwork none 21515 29622 edge 16743 22913 passthrough 36786 53295 re-encrypt 21583 25198 在 HTTP 关闭（无 keep-alive）情境中： Encryption LoadBalancerService passthrough 4121 5344 OpenShift Container Platform 4.10 可伸 可伸缩 缩性和性能 性和性能 92 re-encrypt 2320 2941 Encryption LoadBalancerService HostNetwork 默认 Ingress Controller 配置用于将 spec.tuningOptions.threadCount 字段设置为

Elasticsearch 发送新日志。 4.3.9. 将日志存储服务公开为路由 默认情况下，无法从日志记录集群外部访问部署了 OpenShift Logging 的日志存储。您可以启用一个 re- encryption termination 模式的路由，以实现外部对日志存储服务的访问来获取数据。 另外，还可以在外部创建一个重新加密路由，使用 OpenShift Container Platform 令牌和已安装的